在零信任世界中提高AWS安全性的六個最佳實踐

BenCHou 發(fā)布于2019-03-21 15:43 / 2379人閱讀

摘要：在零信任世界中，六種提高安全性的最佳做法在亞馬遜網(wǎng)絡(luò)服務(wù)公司，報告稱，年第三季度的收入為億美元，年前三個財政季度的收入為億美元。在零信任世界中增加對的安全性被盜的特權(quán)訪問憑據(jù)是當今違規(guī)的主要原因。

在“零信任世界”中，六種提高AWS安全性的最佳做法在亞馬遜網(wǎng)絡(luò)服務(wù)公司（Amazon Web Services，AWS）報告稱，2018年第三季度的收入為66億美元，2018年前三個財政季度的收入為182億美元。2017年第三季度至2018年第三季度的凈銷售額同比增長令人印象深刻，達到46%，前三季度同比增長49%。今年的ERS。據(jù)統(tǒng)計，AWS 34%的市場份額大于其接下來的四個競爭對手，加上中小型云運營商的大多數(shù)客戶。這反映了對混合云計算、安全性和合規(guī)性的日益關(guān)注。

企業(yè)正在快速加快其發(fā)展步伐。工作負載到Amazon Web Services（AWS），以獲得更大的成本、規(guī)模和速度優(yōu)勢。雖然AWS引領(lǐng)所有其他公司成為企業(yè)公共云平臺的首選，但他們和所有基礎(chǔ)設(shè)施即服務(wù)（iaas）提供商都依賴于一個共同的責任模型，客戶負責保護操作系統(tǒng)、平臺和數(shù)據(jù)。&在AWS的情況下，他們負責云本身的安全，包括基礎(chǔ)設(shè)施、硬件、軟件和設(shè)施。下面所示的共享責任模型的AWS版本說明了Amazon如何定義保護數(shù)據(jù)本身、管理平臺、應用程序以及它們?nèi)绾沃匦略L問，以及各種配置作為客戶責任：

included in the list of items where the customer is responsibility for security in云是身份和訪問管理，包括保護最關(guān)鍵的基礎(chǔ)設(shè)施和數(shù)據(jù)的PAM。

在零信任世界中增加對IAAS的安全性

被盜的特權(quán)訪問憑據(jù)是當今違規(guī)的主要原因。發(fā)現(xiàn)80%的數(shù)據(jù)違規(guī)是使用特權(quán)憑據(jù)啟動的，并且d.管理特權(quán)賬戶。雖然它們是造成違規(guī)的主要原因，但它們往往被忽視，不僅是為了保護傳統(tǒng)的企業(yè)基礎(chǔ)設(shè)施，特別是在過渡到云計算時。

Both for In-premise and Infrastructure a s a Service（IAAS），它不足以再多帶帶依賴密碼保險庫。組織需要增強其原有的特權(quán)訪問管理策略，包括代理身份、多因素身份驗證強制以及足夠、及時的特權(quán)，同時確保遠程訪問和監(jiān)視所有特權(quán)會話。他們還需要驗證誰在請求訪問、請求的上下文以及訪問環(huán)境的風險。這些都是戰(zhàn)略的基本要素，在此領(lǐng)域中處于領(lǐng)先地位。

Six-Ways to Increase Security in AWS

The following are six best practices for increasing security in AWS and are based on the Zero Trust privilege model:

vault AWS root accounts and federate access for AWS console

given ho強大的AWS根用戶帳戶是，強烈建議對AWS根帳戶的密碼進行保管，并且只在緊急情況下使用。不要使用本地的AWS IAM帳戶和訪問密鑰，而是使用集中的標識（例如，Active Directory）并啟用聯(lián)合登錄。通過這樣做，您就不需要長期使用的訪問密鑰。

應用通用安全模型并整合身份

當涉及到iaas采用時，組織的一個阻礙因素是神話，iaas需要一個獨特的安全模型，因為它位于傳統(tǒng)網(wǎng)絡(luò)外圍。然而，傳統(tǒng)的安全和遵從性概念仍然適用于云計算。為什么您需要將IAAS環(huán)境視為與您自己的數(shù)據(jù)中心不同的環(huán)境？對于您的特權(quán)用戶，角色和職責仍然相同。因此，利用您已經(jīng)擁有的跨內(nèi)部部署和云資源的通用安全基礎(chǔ)設(shè)施。例如，將您的Active Directory擴展到云中，以控制AWS角色分配并授予適當?shù)奶貦?quán)量。

Sure accountability

Shared privileged accounts（例如，AWS EC2 administrator）are anonymous.通過讓用戶使用其個人帳戶登錄并根據(jù)需要提升權(quán)限，確保100%的責任感。從Active Directory集中管理授權(quán)，將角色和組映射到AWS角色。

Enforce least privilege access

Grant users just enough privilege to complete the task at hand in the AWS management console，AWS services，and on the AWS instances.對AWS管理控制臺、Windows和Linux實例實施跨平臺權(quán)限管理。.

Audit everything

Log and Monitor both authorized and unauthorized user session to AWS instances.將所有活動與個人關(guān)聯(lián)，并報告特權(quán)活動和訪問權(quán)限。使用和監(jiān)視所有AWS實例和您的AWS帳戶的所有API活動也是一個好主意。

Apply multi-factor authentication everywhere

Thwart in progress attacks and get higher levels of user assurance.始終為AWS服務(wù)管理、AWS實例的登錄和特權(quán)提升或簽出保管密碼時實施多因素身份驗證（MFA）。

結(jié)論

違反AWS部署的最常見原因之一是特權(quán)訪問憑據(jù)受到破壞。本文中提到的六個最佳實踐只是一個開始；有更多的策略來提高AWS中的安全性。利用一個可靠的平臺，組織可以消除共享的Amazon EC2密鑰對，使用審計來定義對單個用戶帳戶級別的問責，以最低權(quán)限訪問來執(zhí)行SS在每個登錄名、AWS控制臺和正在使用的AWS實例之間，強制執(zhí)行MFA并啟用通用安全模型。

Interest in hearing industry leaders discus subjects like this and sharing their experience and use cases？參加即將在硅谷、倫敦和阿姆斯特丹舉行的活動，了解更多。

relevant stories
about the author

a simpion for research blog

this blog is committed to providing readers with in-depth analysis of the factors behind disruptive innovation in enterprise software，web-based applications，and delivery p包括SaaS在內(nèi)的平臺。本博客的目標是讓讀者擁有豐富的洞察力和市場智慧，從而更有效地實現(xiàn)他們的目標，并保持行業(yè)的最新發(fā)展。

Cloud Tech Promoted Industry Brands、Business and Analysts的Industry Thinks Leadership Content from Industry Brands、Business and Analysts，Partnering with Writers and Bloggers to Delivery I向CIO和IT經(jīng)理的廣大受眾提供有關(guān)云IT戰(zhàn)略的信息和建議。

關(guān)于IT戰(zhàn)略的ED決策。.

請遵循此鏈接了解我們的。.